İMHA POLİTİKASI

AKYOL TİC. DEĞİRMEN LEV. LTD. ŞTİ.

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

 

 

AMAÇ

 

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerinin kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla AKYOL TİC. DEĞİRMEN LEV.LTD. ŞTİ. (“Şirket”) tarafından hazırlanmıştır.

 

TANIMLAR

 

Kanun/KVKK: Kişisel Verilerin Korunması Kanunu

Yönetmelik: 28.10.2017 tarihli Resmi Gazete’de yayımlnana Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik anlamına gelmektedir.

Kurul: Kişisel Verileri Koruma Kurulu

Kurum: Kişisel Verileri Koruma Kurumu

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Veri Sahibi/İlgili Kişi: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda tanımlanan kişisel verisi işlenen gerçek kişi.

Kişisel Veri İşleme Envanteri : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri anlamına gelmektedir.

Çalışan : Şirket ve iştirakleri ile iş sözleşmesi veya vekalet sözleşmesine bağlı olarak işçi-işveren benzeri ilişkisi olan gerçek kişi anlamına gelmektedir.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

İlgili Kullanıcı/Alıcı Grubu: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri anlamına gelmektedir.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Elektronik Ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar anlamına gelmektedir.

Elektronik Olmayan Ortam : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar anlamına gelmektedir.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kişisel Verilerin Silinmesi: Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

 

İLKELER

 

Şirket tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

•  Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.

• Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır.

• Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirket tarafından seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.

• Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Şirket’e başvurulması halinde;

       - Talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır,

      - Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişilerin gerekli işlemleri yapması sağlanmaktadır.

 

SORUMLULUK VE GÖREV DAĞILIMLARI

Şirketin tüm departmanları ve çalışanları, sorumlu departmanlarca işbu Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, departman çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve denetimi ile Kişisel Verilerin hukuka aykırı olarak işlenmesinin önlenmesi, Kişisel Verilere hukuka aykırı olarak erişilmesinin önlenmesi ve Kişisel Verilerin hukuka uygun bir şekilde saklanmasının sağlanması amacıyla Kişisel Veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu departmanlara aktif olarak destek vermektedir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, departmanları ve görev tanımlarına ait dağılım aşağıda yer almaktadır. 

UNVAN

DEPARTMAN

GÖREV

 

Genel Müdür	Genel Müdürlük	Çalışanların politikaya uygun hareket etmesinden sorumludur.
Veri Sorumlusu İrtibat Kişisi	Finans	Politika’nın hazırlanması, geliştirilmesi, yürütülmesi ile ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
Bilgi İşlem	İnternet&Bilgisayar	Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümerin sunulmasından sorumludur.
İnsan Kaynakları, Muhasebe, Satış-Pazarlama, Teknik Servis, Depo, IT, E-Ticaret	Diğer Departmanlar	Görevlerine uygun olarak işbu Politikanın yürütülmesinden sorumludur.

 

 

KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR

 

Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur. Söz konusu kişisel veriler tüm güvenlik tedbirleri uygulanmak suretiyle aşağıda yer almakta olan ortamlarda saklanmaktadır.

ELEKTRONİK ORTAMLAR	ELEKTRONİK OLMAYAN ORTAMLAR
Kişisel bilgisayarlar (dizüstü, masaüstü) Mobil Cihazlar (telefon vs) Optik diskler Yazıcılar, tarayıcılar, fotokopi makineleri Kameralar Çıkarılabilir ve taşınabilir bellekler Sunucular Yazılımlar Bilgi güvenliği cihazları	Kağıtlar Yazılı ve basılı ortamlar Görsel kayıtlar Manuel veri kayıt sistemleri

 

Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle yukarıda  sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirket veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır

 

 

KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ SEBEPLER

 

Şirkette, faaliyetler çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar ve kanun ile ilgili mevzuat kapsamında muhafaza edilir. Bu kapsamda saklamayı gerektiren sebepler aşağıda yer almaktadır.

 

• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması
• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla şirketin meşru menfaatleri için saklanmasının zorunlu olması
• Kişisel verilerin şirketin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması
• Kanun ve mevzuatlarda kişisel verilerin saklanmasının açıkça öngörülmesi
• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması

KİŞİSEL VERİ İŞLEME ŞARTLARINA UYGUNLUK

AKYOL TİC. DEĞİRMEN LEV. LTD. ŞTİ. kişisel veri işleme faaliyetlerini, KVK Kanunu’nun 5. maddesinde ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Bu kapsamda, yürütülen kişisel veri işleme faaliyetleri aşağıda sıralanan kişisel veri işleme şartlarının varlığı halinde gerçekleştirilmektedir.

• Kişisel Veri Sahibinin Açık Rızasının Varlığı

Veri sahibinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak onay vermesi halinde, AKYOL tarafından kişisel veri işleme faaliyeti yürütülür.

• Kişisel Veri İşleme Faaliyetinin Kanunlarda Açıkça Öngörülmüş Olması

Kişisel veri işleme faaliyetine ilişkin kanunlarda açıkça düzenleme  bulunması durumunda, AKYOL tarafından, ilgili kanuni düzenleme ile sınırlı olarak kişisel veri işleme faaliyeti yürütülebilecektir.

• Fiili İmkansızlık Nedeniyle Veri Sahibinin Açık Rızasının Elde Edilememesi ve Kişisel Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi zorunlu ise, AKYOL tarafından bu kapsamda veri işleme faaliyeti yürütülür.

• Kişisel Veri İşleme Faaliyetinin Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olan hallerde, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise AKYOL tarafından veri işleme faaliyeti yürütülür.

• AKYOL’un  Hukuki Yükümlülüğünü Yerine Getirmesi için Kişisel Veri İşleme Faaliyeti Yürütülmesinin Zorunlu Olması

AKYOL’un hukuki yükümlülüğünün söz konusu olması durumunda, hukuki yükümlülüğünün yerine getirilmesi için kişisel veri işleme faaliyeti yürütülür.

• Veri Sahibinin Kişisel Verisini Alenileştirmesi

AKYOL tarafından, ilgili kişinin kendisi tarafından alenileştirilen (herhangi bir şekilde kamuya açıklanan) kişisel veriler alenileştirilme amacına uygun olarak işlenir.

• Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri İşlemenin Zorunlu Olması

Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda, AKYOL tarafından bu zorunluluk doğrultusunda kişisel veri işleme faaliyeti yürütülür.

• Veri Sahibinin Temel Hak ve  Özgürlüklerine  Zarar Vermemek Şartıyla Kişisel Veri İşleme Faaliyetinin Yürütülmesinin AKYOL’UN Meşru Menfaatleri için Zorunlu Olması

AKYOL’un meşru menfaatleri için, kişisel veri işlemenin zorunlu olması durumunda, veri sahibinin temel hak ve özgürlüklerine zarar verilmeyecek ise veri işleme faaliyeti yürütülebilecektir.

ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME ŞARTLARINA UYGUNLUK

AKYOL tarafından özel nitelikli kişisel veri işlemesinde öncelikle hassasiyetle veri işleme şartlarının var olup olmadığı tespit edilmekte, hukuka uygunluk şartının varlığından emin olunduktan sonra veri işleme faaliyeti yürütülmektedir.

Özel nitelikli kişisel veriler AKYOL tarafından, KVK Kurulu tarafından belirlenen yeterli önlemlerin alınması şartıyla aşağıdaki durumlarda işlenebilmektedir.

Kişisel Sağlık Verilerinin İşlenmesi

AKYOL tarafından kişisel sağlık verileri, aşağıda sıralanan şartlardan birinin varlığı halinde işlenebilmektedir.

• Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında  bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
•  Kişisel veri sahibinin açık rızasının varlığı,

 

 

Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi

AKYOL tarafından, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri); veri sahibinin açık rıza vermesi veya kanunlarda öngörülen hallerde işlenebilmektedir.

SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

 

Şirket aşağıdakiler dahil olmak ancak bununla sınırlı olmamak üzere, ilgili kişinin veya ilgili kişi tarafından belirtilen üçüncü tarafların kişisel verilerini çeşitli amaçlarla işleyebilir:

 

• İnsan kaynakları süreçlerini yürütmek
• Kurumsal iletişimi sağlamak
• Şirket güvenliğini sağlamak
• İstatistiksel çalışmalar yapabilmek
• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak
• Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak
• Yasal raporlamalar yapmak
• Çağrı merkezi süreçlerini yönetmek
• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirmek
• Şirket hukuk işlerinin icrası/takibini yapmak

 

İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

 

• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kalkması sebebiyle gerekli olması hali,
•  Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
•  Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
•  Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
•  İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
•  Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın olmaması.

 

SAKLAMA VE İMHA SÜRELERİ

 

Kişisel verilerin saklanma süresi belirlenirken, yasal düzenlemelerin getirdiği yükümlülükler ve kişisel verilerin  işlenme amaçları dikkate alınmaktadır. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin belirlenmesinde, bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e yöneltilen talepler dikkate alınmaktadır. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirket tarafından seçilir. Veri sahibi Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep ettiğinde, ilgili talep kişisel verilerin işleme şartlarının ortadan kalkıp kalkmadığına göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa Şirket talebe konu kişisel verileri imha eder. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler en geç 30 gün içinde sonuçlandırılarak ilgili kişiye bildirilir.

 

Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

 

Saklama süresi dolan kişisel veriler, yasal düzenlemelerde ve işbu Politika’da belirlenen imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak imha edilir. İmha işlemleri kayıt altına alınır ve kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır

 

Veri Sahibi	Veri Kategorisi	Veri Saklama Süresi
Çalışan	İşe alım evrakları ile Sosyal Güvenlik Kurumu’na gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri ve bunların dışında kalan özlük verileri	Hukuki ilişki + 10 yıl
Çalışan	İşyeri Kişisel Sağlık Dosyası içeriğindeki veriler	Hukuki ilişki + 15 yıl
Çalışan Adayı	Çalışan adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler	En fazla 2 yıl olmak üzere özgeçmişin güncelliğini kaybedeceği süre
Stajyer (Öğrenci)	Stajyere ait staj dosyasında yer alan bilgiler	Hukuki ilişki + 10 yıl
İş Ortağı/Çözüm Ortağı/Danışman	Ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, İş Ortağı/Çözüm Ortağı/Danışman çalışanı verileri	Hukuki ilişki + 10 yıl
Müşteri	Müşteri’ye ait ad, soyad, T.C.K.N., iletişim bilgileri, ödeme bilgileri ve yöntemleri,  ürün/hizmet tercihleri, ticari işlem geçmişi.	Hukuki ilişki + 10 yıl
Şirketin İşbirliği İçinde Olduğu Kurum/Firmalar  (Tedarikçi, Fason Üretici)	Ticari ilişkinin yürütülmesine ilişkin kimlik bilgisi, iletişim bilgisi, finansal bilgiler, Şirketin İşbirliği İçinde Olduğu Kurum/Firma çalışanı verileri	Hukuki ilişki + 10 yıl
Ziyaretçi	Üretim tesislerimizde fiziki mekana girişte alınan Ziyaretçi'ye ait ad, soyad, iletişim bilgileri, T.C.K.N.	10 yıl
Ziyaretçi	Kamera kayıtları	12 gün
İnternet Sitesi Ziyaretçisi	İnternet sitesi ziyaretçisine ait ad, soyad, e-posta adresi, gezinme hareketleri bilgileri	2 yıl

 

Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi yukarıdaki tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel verinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulanacaktır.

 

TEKNİK TEDBİRLER

 

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıdadır:

 

• Kurulan  sistemler kapsamında gerekli iç kontrolleri yapar
• Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür
• Verilerin şirket dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar
• Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar
• Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar
• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
• Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
• Özel Nitelikli Kişisel Veri işleme süreçlerinde yer alan çalışanlara yönelik Özel Nitelikli Kişisel Veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
• Şirket, silinen Kişisel Verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
• Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır
• Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunur.
• Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

 

İDARİ TEDBİRLER

 

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıdadır:

 

• Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
• Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
• Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
• Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
• Veri Sahibi Başvuru Prosedürü hazırlanmıştır.
• Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri ve KVKK ve ilgili mevzuata uygun davranacaklarına ilişkin taahhütnameler imzalatılmaktadır.

 

KİŞİSEL VERİLERİ İMHA YÖNTEMLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda Kişisel Veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel veriler aşağıda belirtilen yöntemlerle silinir.

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan Kişisel V erilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan Kişisel Verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan Kişisel V erilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/ boyanarak/ silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler	Flash tabanlı saklama ortamlarında tutulan Kişisel Verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel Veriler aşağıda belirtilen yöntemlerle yok edilir:

Veri Kayıt Ortamı	Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler	Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler	Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

 

 

 

ANONİMLEŞTİRME YÖNTEMLERİ

 

Değişkenleri çıkarma	İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının çıkarılmasıdır.
Bölgesel gizleme	Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi.
Genelleştirme	Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
Veri karma ve bozma	Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.

 

 

SAKLAMA VE İMHA SÜRELERİ

 

Şirket tarafından kişisel verilerin saklama süresi belirlenirken; öncelikle yasal mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Aşağıda yer alan tabloda saklama ve imha süreleri yer almaktadır.

 

Kişisel Veri Kaynağı	Süre	Yasal Dayanak
Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar	10 Yıl	6102 Sayılı Kanun, 213 Sayılı Kanun
Çerezler ve Log Kayıtları	6 Ay – En Fazla 2 Yıl	5651 Sayılı İnternet Kanunu
Çevrim içi Ziyaretçilere İlişkin Trafik Bilgileri	2 Yıl	5651 Sayılı Kanun
Müşterilere İlişkin Kişisel Veriler	6563 Sayılı Kanun ve ilgili mevzuat çerçevesinde ise 3 yıl , Hukuki ilişki son erdikten sonra 10 Yıl.	6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun
Tedarikçilere İlişkin Kişisel Veriler	Hukuki ilişki sona erdikten sonra 10 Yıl	6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun
Kişisel Verileri Koruma Kurulu İşlemleri	10 Yıl	KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Sözleşmeler	Sözleşmenin Sona Ermesinden İtibaren 10 Yıl	KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Kurum İletişim Faaliyetleri	Faaliyetin Sona Ermesinden İtibaren 10 Yıl	KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
İnsan Kaynakları Süreçleri	Faaliyetin Sona Ermesinden İtibaren 10 Yıl	KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Donanım ve Yazılıma Erişim Süreçleri	2 Yıl	KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Ziyaretçi ve Toplantı Kullanıcıların Kaydı	Etkinliğin Sona ermesinden İtibaren 2 Yıl	KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Kamera Kayıtları	2 Yıl	KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı)	İş İlişkisinin sona ermesinden itibaren 10 Yıl	4857 Sayılı İş Kanunu ve İlgili Mevzuat
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler	İş İlişkisinin sona ermesinden itibaren 10 Yıl	4857 Sayılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Türk Borçlar Kanunu
İş Kanunu Kapsamında Saklanan Verilerden Sendikal Tazminata Konu Olabilecek Veriler (Örn: Performans kayıtları, disiplin cezaları, fesih evrakları)	İş İlişkisinin sona ermesinden itibaren 10 Yıl	6098 Sayılı Türk Borçlar Kanunu
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar)	İş İlişkisinin sona ermesinden itibaren 15 Yıl	6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği
SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri)	İş İlişkisinin sona ermesinden itibaren 10 Yıl	5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İlgili Mevzuat
İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması	İş İlişkisinin sona ermesinden itibaren 10 Yıl	4857 Sayılı İş Kanunu ve İlgili Mevzuat
Çalışan Erişim Kısıtlamaları – Active Directory İşlemleri	İş İlişkisinin sona ermesinden itibaren 10 Yıl	4857 Sayılı İş Kanunu ve İlgili Mevzuat
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Örn: Huzur hakkı ve Kar payı ödemeleri)	10 Yıl	6102 Sayılı Türk Ticaret Kanunu
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Pay defterinde yer alan kişisel veriler)	Pay Defterinin Saklanma Zorunluluğu Sebebiyle Süresiz	6102 Sayılı Türk Ticaret Kanunu
Burs ödemesi / Çalışan Avans Ödemesi	10 Yıl	6102 Sayılı Türk Ticaret Kanunu
İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, Cover Letter, Başvuru Formu)	1 Yıl	Sektörel teamüller geçerli.
Sendikal Faaliyetler Uyarınca İşlenen ve Sendika ile Paylaşılan Kişisel Veriler	10 Yıl	6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi
Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler (Örn: Katılımcı Listesi)	İş İlişkisinin sona ermesinden itibaren 10 Yıl	Sektörel Teamül
Çalışan Memnuniyet Anketlerine İlişkin Veriler	Anketin doldurulduğu yılın sona ermesine müteakiben 1 Yıl	Sektörel Teamül
Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar İşlenen Kişisel Veriler	10 Yıl	6102 sayılı Türk Ticaret Kanunu
Genel Kurul İşlemleri Uyarınca İşlenen Veriler	10 Yıl	6102 sayılı Türk Ticaret Kanunu
Şirketin Taraf Olduğu Sözleşmelerin Kurulması ve İçeriğine İlişkin Kişisel Veriler	10 Yıl	6102 sayılı Türk Ticaret Kanunu
Tüketicinin Bilgilendirilmesine ve Cayma Hakkını Kullanabilmesine İlişkin Sesli Veya Elektronik Ortamdaki Bilgiler	3 Yıl	27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları	1 Yıl	29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları Dışındaki Veriler	1 Yıl	29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik
Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Şirket Yetkilisi, Ad Soyad, imza sirküleri)	Sözleşmenin Sona Ermesine Müteakip 10 Yıl	6098 Sayılı Türk Borçlar Kanunu
Vergisel Kayıtlara İlişkin Kişisel Veriler	5 Yıl	213 Sayılı Vergi Usul Kanunu
Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler	5 Yıl	213 Sayılı Vergi Usul Kanunu
Ziyaretçilerin Kişisel Verileri	2 Yıl	5651 Sayılı Kanun (Şirketin Wi-Fi Ağına Erişim Sağlayan Ziyaretçiler İçin)
CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları)	90 Gün	Sektörel Teamül
Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları	En Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl	5651 Sayılı Kanun Gereği ve TİB (Telekomünikasyon İletişim Başkanlığı) Yönetmelikleri
Şirket İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik Bilgileri (Örn: IP adres, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri)	2 Yıl	5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
6502 Sayılı Tüketicinin Korunması Hakkında Kanun Gereğince Satış Sonrası Hizmet Verilmesinin Zorunlu Olması Sebebiyle İşlenen Kişisel Veriler (Örn: Ürün kurulum tarihi, müşteri iletişim bilgileri)	15 Yıl	6502 Sayılı Tüketicinin Korunması Hakkında Kanun, 13.06.2014 Tarih ve 29029 Sayılı Resmi Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği
Müşteri Bilgilerinden, TTK 82. Maddesi Uyarınca ticari defter ve kayıtlara dayanak teşkil eden faturaların düzenlenmesine ilişkin kişisel veriler	10 Yıl	6102 Sayılı Türk Ticaret Kanunu
Müşteri İşlem Bilgileri (Müşterilerin Talep/Şikayet/önerilerine İlişkin Çağrı Kayıtları)	10 Yıl	6098 Sayılı Türk Borçlar Kanunu
Potansiyel Müşterilere İlişkin Veriler (Örn: cookies, çerezler, linkedin üzerinden profillemeye ilişkin veriler)	13 Ay	Avrupa Birliği / Sektörel Teamül Uygulaması
Ölmüş Bir Kişinin Kişisel Verileri	En Az 20 Yıl	21.06.2018 Tarih ve 30808 Sayılı Resmi Gazetede yayınlan Kişisel Sağlık verileri Hakkında Yönetmelik

PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11 inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirket her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

YÜRÜRLÜK

İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.

 

• Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.
• Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.